Google Workspace新增AI安全功能,部份設定變更需2名管理員

防止攻擊者利用社交工程手法入侵管理者帳號引發進一步危害,Google Workspace將針對管理員指定的帳號設定變更行為,提供雙重確認機制

Google上周宣布生產力服務Workspace新增AI為基礎的安全功能,以降低資料外洩風險及符合歐美法規。Google Workspace同時加入某些功能需2名管理員同意,以及強制某些用戶管理員帳號啟用2步驟驗證。

Google引用第三方報告指出,Workspace加入企業安全功能後,在被濫用的已知漏洞、電子郵件安全事件,以及因資安事件衍生保險支出方面,和主流舊式(如微軟)方案相比都大幅減少。為此Google Workspace持續擴充以AI為基礎的零信任(zero-trust)、數位主權及威脅防護控制,以確保企業資料安全。

在AI為基礎的零信任安全功能方面,首先,Google Drive將加入AI資料分類標籤及情境式資料外洩防護(DLP)。管理員可設定AI模型自動為Drive的檔案加標籤及分類,並且設定情境感知存取(context-aware access,CAA)政策,例如按裝置所在地點或安全狀態決定員工能否把敏感資料分享出去。之後AI即可按企業安全政策為資料分類、標籤,並實行資料外洩防護及資料存取管制。AI資料分類及標籤現在已經開放預覽版測試,情境式DLP則會在幾個月內開放測試。

圖片來源_Google

第三項則是為Gmail強化DLP,允許管理員控制員工對內、對外如何分享敏感資料,也將在幾個月後開放預覽測試。

在資料主權(data sovereignty)功能方面,首先,Workspace將新增多項用戶端加密(client-side encryption,CSE)功能。CSE是指從用戶端即加密資料再傳送出去,只有發送者擁有加密金鑰,因此即使伺服器端或服務供應商都無法存取敏感資料。在最新的宣布中,Google Calendar、Gmail和Meet行動版App已正式支援CSE,現在正在測試於Workspace中讀取編輯Microsoft Excel檔案。此外Google預定今年內預覽3項CSE功能,包括特定組織單位預設啟用CSE、及Google Docs評論、外部用戶以Guest身分加入Meet通話時支援CSE。

圖片來源_Google

Google也將允許CSE用戶選擇加密金鑰和資料儲存的位置。在前者中,Google和安全廠商Thales、Stormshield及Flowcrypt合作,讓CSE用戶得以選擇將加密金鑰儲存在屬意的國家以滿足法規。今年稍晚,Workspace也會以預覽版測試讓企業選擇資料處理(歐盟或美國),以及Workspace備份儲存的地點所在。

另外,Workspace也讓企業控制Google技術支援可存取哪些資料、監控Google的行為,並讓美國企業設定只允許美國Google支援。今年稍晚則將允許歐盟企業限定歐盟地區的支援。

最後,為防止管理員遭到釣魚攻擊致Workspace帳號被接管,Workspace將在今年內預覽一項新功能,Workspace允許管理員設定某些敏感行為,如變更2SV設定,需獲得另一名管理員同意。其次,Google也要求某些Workspace企業管理員帳號強制啟用兩步驟驗證(2-step verification,2SV),今年稍晚將從最大型企業用戶,以及Google經銷商開始執行。

圖片來源_Google

Google上周並另外發布2項預覽功能,包括以AI為基礎的Gmail電子郵件過濾或轉寄之防護,以及將Workspace log紀錄匯出到Chronicle,以判斷可能的異常活動。

所有預告的Workspace安全功能,現在已開放企業管理員免費試用。Google並將在下個月的Next ‘ 23大會上正式發表。

資料來源:Google Workspace新增AI安全功能,部份設定變更需2名管理員